Hơn 4000 ứng dụng Android để lộ dữ liệu người dùng do cơ sở dữ liệu có sai sót cấu hình

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Hơn 4.000 ứng dụng Android sử dụng dịch vụ lưu trữ cơ sở dữ liệu Firebase của Google đã ‘vô tình’ làm rò rỉ thông tin nhạy cảm của người dùng. Những thông tin bị lộ bao gồm địa chỉ email, tên người dùng, mật khẩu, số điện thoại, tên đầy đủ, các tin nhắn trò chuyện và dữ liệu vị trí.

Nhà nghiên cứu Bob Diachenko của Security Discovery đã hợp tác với công ty công nghệ Comparitech để tiến hành một cuộc điều tra trên 15.735 ứng dụng Android, chiếm khoảng 18% tổng số ứng dụng trên cửa hàng Google Play.

Phía Comparitech cho biết “4,8% ứng dụng di động có lưu trữ dữ liệu người dùng trên Google Firebase đã không được bảo mật đúng cách. Ai cũng có thể truy cập vào cơ sở dữ liệu chứa thông tin cá nhân của người dùng, mã thông báo truy cập và các dữ liệu khác mà không cần mật khẩu hoặc bất kỳ phương thức xác thực nào khác”.

Được Google mua lại vào năm 2014, Firebase là một nền tảng phát triển ứng dụng di động phổ biến, cung cấp nhiều công cụ để giúp các nhà phát triển xây dựng ứng dụng, lưu trữ dữ liệu và tệp ứng dụng một cách an toàn, khắc phục sự cố và thậm chí kết nối với người dùng qua tin nhắn của ứng dụng.

Các ứng dụng bị mắc lỗi chủ yếu là các ứng dụng về trò chơi, giáo dục, giải trí và kinh doanh. Tổng lượt cài đặt của các ứng dụng trên là 4,22 tỷ lần và “rất có thể quyền riêng tư của người dùng Android đã bị xâm phạm bởi ít nhất một ứng dụng”.

Vì Firebase là một công cụ đa nền tảng nên các nhà nghiên cứu cũng cảnh báo rằng những cấu hình lỗi cũng có khả năng ảnh hưởng đến iOS và các ứng dụng trên web.

Những thông tin bị ảnh hưởng trên 4.282 ứng dụng bao gồm:

  • Địa chỉ email: 7.000.000+
  • Tên người dùng: 4.400.000+
  • Mật khẩu: 1.000.000+
  • Số điện thoại: 5.300.000+
  • Tên đầy đủ: 18.300.000+
  • Tin nhắn trò chuyện: 6.800.000+
  • Dữ liệu GPS: 6.200.000+
  • Địa chỉ IP: 156.000+
  • Địa chỉ theo tên đường phố: 560.000+

Diachenko nhận thấy các cơ sở dữ liệu sử dụng REST API của Firebase để truy cập dữ liệu được lưu trữ trên các thực thể không được bảo vệ, chúng được truy xuất ở định dạng JSON, bằng cách thêm “/.json” vào URL cơ sở dữ liệu (ví dụ: https://~project_id~.firebaseio.com/.json).

firebase database security

Ngoài 155.066 ứng dụng công khai cơ sở dữ liệu, các nhà nghiên cứu đã tìm thấy 9.014 ứng dụng cung cấp quyền ghi, cho phép kẻ tấn công chèn dữ liệu độc hại và làm hư hỏng cơ sở dữ liệu và thậm chí phát tán phần mềm độc hại.

Một vấn đề phức nữa là việc lập chỉ mục cho các URL cơ sở dữ liệu của Firebase trên các công cụ tìm kiếm như Bing sẽ để lộ các endpoints có chứa lỗi cho bất kỳ ai trên Internet. Tìm kiếm trên Google cũng không đưa ra kết quả.

Sau khi được thông báo về sự việc vào ngày 22 tháng 4, Google cho biết họ sẽ liên hệ với các nhà phát triển bị ảnh hưởng để khắc phục các vấn đề.

Đây không phải là lần đầu tiên Firebase bị rò rỉ thông tin cá nhân. 2 năm trước, các nhà nghiên cứu từ công ty bảo mật di động Appthority đã tìm thấy một vụ để lộ dữ liệu tương tự ảnh hưởng đến 100 triệu hồ sơ dữ liệu.

Để một cơ sở dữ liệu mở công khai, không có bất kỳ phương thức xác thực nào là một lời mời chào đến những kẻ xấu. Vì thế, các nhà phát triển ứng dụng nên tuân thủ các quy tắc cơ sở dữ liệu của Firebase để bảo mật dữ liệu và ngăn chặn việc truy cập trái phép.

Người dùng được khuyến khích chỉ sử dụng các ứng dụng đáng tin cậy và thận trọng về thông tin được chia sẻ với một ứng dụng.

Cấu hình máy chủ không an toàn là một hiện tượng không hiếm gặp tại các doanh nghiệp sở hữu các máy chủ dịch vụ, cơ sở dữ liệu chứa thông tin của người dùng sản phẩm. Bạn đọc có thể tham khảo thêm về các lỗi misconfiguration thường gặp khi cấu hình dịch vụ đám mây tại bài chia sẻ của Mr. Trung Nguyễn – chuyên gia bảo mật và giám đốc công nghệ CyStack Security tại đây: https://cystack.net/vi/resource/vws-2019-bao-mat-trong-ky-nguyen-dich-vu-dam-may/

Quỳnh Thảo

Theo TheHackerNews